CN102185864B - 安全认证策略配置方法、装置及系统 - Google Patents
安全认证策略配置方法、装置及系统 Download PDFInfo
- Publication number
- CN102185864B CN102185864B CN201110124695.0A CN201110124695A CN102185864B CN 102185864 B CN102185864 B CN 102185864B CN 201110124695 A CN201110124695 A CN 201110124695A CN 102185864 B CN102185864 B CN 102185864B
- Authority
- CN
- China
- Prior art keywords
- safety certification
- end port
- strategy
- certification strategy
- access device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明公开了一种安全认证策略配置方法、装置及系统,该方法包括步骤:核心设备在各接入设备包含的接入端口中,确定与终端设备直接通信的各末端端口;所述核心设备针对包含末端端口的每个接入设备,分别发送安全认证策略配置报文;接入设备接收到所述安全认证策略配置报文后,针对自身包含的每个末端端口,分别进行安全认证策略的配置操作。本发明技术方案提出了一种实现安全认证策略自动配置的具体实现方案。
Description
技术领域
本发明涉及安全认证技术领域,尤其涉及一种安全认证策略配置方法、装置及系统。
背景技术
现有技术中,三层网络架构是当前校园网中最为普遍的一种网络层次架构,三层网络架构分为接入层、汇聚层和核心层三个网络层次,在这种网络层次架构中,硬件功能较弱的接入设备上运行着非常多的功能,而硬件功能强大的核心设备上运行的功能却非常少,这就使得接入设备的故障率较高,而接入设备的数量往往是非常宏大的,因此就耗费了网络管理员大量的时间和精力来配置和维护数量众多的接入设备。
对此,现有技术提出,将校园网的网络层次架构由三层网络架构改造为扁平化网络架构,扁平化网络架构中只包含接入层和核心层,终端设备的网关通常在核心设备上。在这种网络层次架构中,硬件功能强大的核心设备承担起运行较多功能的任务,硬件功能较弱的接入设备上运行的功能较少,因此有效地降低了接入设备的故障率,节省了网络管理员的工作量。
当前,校园网络中存在着非法地址解析协议(ARP,Address ResolutionProtocol)报文泛滥的问题,这些报文可能是恶意用户构造的,也可能是用户在无意识的情况下通过木马程序发出的,如果不对这些报文加以控制,就会造成用户使用的终端设备无法连接网络。为了解决该问题,网络管理员可以手动在接入设备中与终端设备直接通信的末端端口上配置安全认证策略,以此来对终端设备发送的报文进行安全认证控制,例如在末端端口上配置美国电气和电子工程师协会(IEEE,Institute of Electrical and Electronics Engineers)802.1X认证策略或网页(WEB)认证策略,当终端设备发送的报文到达末端端口时,末端端口根据配置的安全认证策略对报文进行安全认证,若未通过认证,则丢弃该报文,若通过认证,则绑定ARP后转发该报文,从而在报文发送的源头阻止终端设备发送非法ARP报文。
现有技术中,安全认证策略一般由网络管理员手工在接入设备的末端端口上进行配置,其基本过程是:网络管理员先在网管上找到要配置安全认证策略的接入设备,然后在接入设备的各接入端口中找到要配置安全认证策略的末端端口,网络管理员在末端端口上开启IEEE 802.1X认证策略或WEB认证策略。在扁平化网络架构中,接入设备通常有成百上千台,如果均由网络管理员来手工配置安全认证策略,则使得网络管理员的配置维护工作量非常大。现有技术还没有提出一种实现安全认证策略自动配置的具体实现方案。
发明内容
本发明实施例提供一种安全认证策略配置方法、装置及系统,用以提出一种实现安全认证策略自动配置的具体实现方案。
本发明实施例技术方案如下:
一种安全认证策略配置方法,该方法包括步骤:核心设备在各接入设备包含的接入端口中,确定与终端设备直接通信的各末端端口;所述核心设备针对包含末端端口的每个接入设备,分别发送安全认证策略配置报文;接入设备接收到所述安全认证策略配置报文后,针对自身包含的每个末端端口,分别进行安全认证策略的配置操作。
一种安全认证策略配置装置,包括:第一确定单元,用于在各接入设备包含的接入端口中,确定与终端设备直接通信的各末端端口;第一发送单元,用于针对包含第一确定单元确定出的末端端口的每个接入设备,分别发送安全认证策略配置报文。
一种核心设备,包括上述安全认证策略配置装置。
一种安全认证策略配置装置,包括:第一接收单元,用于接收核心设备发送的安全认证策略配置报文;第一配置操作单元,用于在第一接收单元接收到所述安全认证策略配置报文后,针对所述安全认证策略配置装置包含的每个末端端口,分别进行安全认证策略的配置操作。
一种接入设备,包括上述安全认证策略配置装置。
一种安全认证策略配置系统,包括上述核心设备和上述接入设备。
本发明实施例技术方案中,核心设备在各接入设备包含的接入端口中,确定与终端设备直接通信的各末端端口,然后针对包含末端端口的每个接入设备,分别发送安全认证策略配置报文,接入设备接收到所述安全认证策略配置报文后,针对自身包含的每个末端端口,分别进行安全认证策略的配置操作。由上可见,本发明实施例提出了一种实现安全认证策略自动配置的具体实现方案,而不再是由网络管理员进行手工配置,因此提高了安全认证策略的配置效率和可靠性。
附图说明
图1为本发明实施例中,安全认证策略配置系统结构示意图;
图2为本发明实施例中,安全认证策略配置系统具体实现架构示意图;
图3为本发明实施例中,安全认证策略配置方法流程示意图;
图4为本发明实施例中,安全认证策略配置方法具体实现流程示意图;
图5为本发明实施例中,安全认证策略配置装置结构示意图一;
图6为本发明实施例中,安全认证策略配置装置结构示意图二。
具体实施方式
下面结合各个附图对本发明实施例技术方案的主要实现原理、具体实施方式及其对应能够达到的有益效果进行详细地阐述。
如图1所示,为本发明实施例提出的安全认证策略配置系统的结构示意图,包括核心设备11和至少一个接入设备12,其中:
核心设备11,用于在各接入设备12包含的接入端口中,确定与终端设备直接通信的各末端端口,以及针对包含末端端口的每个接入设备12,分别发送安全认证策略配置报文;
接入设备12,用于接收到核心设备11发送的安全认证策略配置报文后,针对自身包含的每个末端端口,分别进行安全认证策略的配置操作。
在扁平化网络架构中,有些接入设备可以直接和核心设备通信,而有些接入设备则需要通过其他接入设备来和核心设备通信。
图2为本发明实施例提出的安全认证策略配置系统的具体实现架构示意图,核心设备的核心端口a1与接入设备1的接入端口b14相连,因此接入设备1可以直接和核心设备通信,接入设备1的接入端口b11和终端设备1相连,接入设备1的接入端口b12和终端设备2相连,接入设备1的接入端口b13和接入设备2的接入端口b21相连,因此接入设备1的接入端口b11和b12是与终端设备直接通信的末端端口,接入设备2的接入端口b22和终端设备3相连,因此接入设备2的接入端口b22是与终端设备直接通信的末端端口。核心设备确定出接入端口b11、b12和b22为末端端口后,向分别向接入设备1和接入设备2发送安全认证策略配置报文,接入设备1接收到安全认证策略配置报文后,针对接入端口b11和b12,分别进行安全认证策略的配置操作,接入设备2接收到安全认证策略配置报文后,针对接入端口b22进行安全认证策略的配置操作。
其中,需要配置安全认证策略的末端端口也可以称为安全控制点。
与上述安全认证策略配置系统对应,本发明实施例提出一种安全认证策略配置方法,如图3所示,其具体处理过程如下:
步骤31,核心设备在各接入设备包含的接入端口中,确定与终端设备直接通信的各末端端口;
本发明实施例提出的安全认证策略配置方法主要包括两个处理过程:核心设备确定末端端口的过程(步骤31)和核心设备针对查找到的末端端口配置安全认证策略的过程(步骤32~步骤33)。
核心设备可以但不限于通过下述两种处理方式来确定与终端设备直接通信的各末端端口,具体为:
第一种处理方式,网络管理员预先在核心设备中存储了与终端设备直接通信的各末端端口的端口标识,核心设备直接根据存储的端口标识确定各末端端口,其中,端口标识可以但不限于为末端端口的端口号,若端口号能够唯一标识末端端口,则可以直接存储末端端口的端口号即可,核心设备可以直接根据端口号确定出该末端端口是哪个接入设备上的哪个接入端口,若端口号不能唯一标识末端端口,则需要存储末端端口的端口号和对应的接入设备的介质访问控制(MAC,Medium Access Control)地址的对应关系,核心设备先根据接入设备的MAC地址,确定对应的接入设备,然后再根据端口号确定出该接入设备上的哪些接入端口是末端端口;
第二种处理方式,核心设备在自身的各核心端口中,查找开启了末端端口查询功能的核心端口,然后通过查找到的核心端口,向与查找到的核心端口相连的接入设备发送末端端口查询报文,此时与核心端口相连的接入设备为核心设备的下一级设备,核心设备为与核心端口相连的接入设备的上一级设备,其中,接入设备的上一级设备可以为其他接入设备,也可以为核心设备,接入设备的下一级设备可以为其他接入设备,也可以为终端设备,每个接入设备均执行下述操作:接收到上一级设备发送的末端端口查询报文后,向上一级设备发送非末端端口报文,并通过各接入端口向下一级设备转发所述末端端口查询报文,接入设备针对转发所述末端端口查询报文的每个接入端口,分别判断该接入端口是否在规定时间长度内接收到非末端端口报文,由于接入设备接收到末端端口查询报文后,均会向上一级设备反馈非末端端口报文,因此在判断结果为是时,认为与该接入端口相连的设备为接入设备,在判断结果为否时,认为与该接入端口相连的设备为终端设备,接入设备将判断结果为否的接入端口确定为与终端设备直接通信的末端端口,并将确定出的末端端口的端口标识携带在末端端口信息报文中发送给所述核心设备,其中,与核心设备相连的接入设备可以直接将末端端口信息报文发送给核心设备,与核心设备不相连的接入设备可以通过其他接入设备将末端端口信息报文发送给核心设备,接入设备发送的末端端口信息报文的目的MAC地址为核心设备的MAC地址,源MAC地址为该接入设备的MAC地址,核心设备根据末端端口信息报文中携带的端口标识,确定与终端设备直接通信的各末端端口,端口标识可以但不限于为末端端口的端口号。
其中,接入设备在向下一级设备转发所述末端端口查询报文时,可以先在自身包含的各接入端口中,查找非阻塞且处于连接状态的各接入端口,然后再通过查找到的各接入端口,向下一级设备转发所述末端端口查询报文。
若安全认证策略配置系统的具体实现架构如图2所示,则上述第二种处理方式具体为:
核心设备先在自身的各核心端口中,查找到开启了末端端口查询功能的核心端口a1,然后通过核心端口a1,向接入设备1发送末端端口查询报文,此时,核心设备为接入设备1的上一级设备;接入设备1通过接入端口b14接收到上一级设备(核心设备)发送的末端端口查询报文后,向上一级设备(核心设备)发送非末端端口报文;接入设备1在自身的各接入端口中,查找到非阻塞且处于连接状态的接入端口b11、b12、b13;接入设备1分别通过接入端口b11、b12、b13,向终端设备1、终端设备2和接入设备2转发所述末端端口查询报文,此时,终端设备1、终端设备2和接入设备2均为接入设备1的下一级设备,接入设备1为接入设备2的上一级设备;接入设备2通过接入端口b21接收到上一级设备(接入设备1)发送的末端端口查询报文后,向上一级设备(接入设备1)发送非末端端口报文;接入设备2在自身的各接入端口中,查找到非阻塞且处于连接状态的接入端口b22;接入设备2通过接入端口b22向终端设备3转发所述末端端口查询报文;接入设备2的接入端口b22在规定时间长度内未接收到非末端端口报文,因此接入设备2确定接入端口b22为与终端设备直接通信的末端端口;接入设备2将接入端口b22的端口号携带在末端端口信息报文2中,该末端端口信息报文2的目的MAC地址为核心设备的MAC地址,源MAC地址为接入设备2的MAC地址;接入设备2通过接入设备1将末端端口信息报文2发送给核心设备,其中接入设备1将末端端口信息报文2透传给核心设备;接入设备1的接入端口b11和b12在规定时间长度内未接收到非末端端口报文,因此接入设备1确定接入端口b11和b12为与终端设备直接通信的末端端口;接入设备1将接入端口b11和b12的端口号携带在末端端口信息报文1中,该末端端口信息报文1的目的MAC地址为核心设备的MAC地址,源MAC地址为接入设备1的MAC地址,接入设备1通过接入端口b14将末端端口信息报文1发送给核心设备;核心设备根据末端端口信息报文1和末端端口信息报文2,就能够分别确定出接入设备1包含的末端端口和接入设备2包含的末端端口。
若末端端口信息报文中携带的端口号能够唯一标识末端端口,则核心设备可以直接根据端口号确定出哪些接入设备上的哪些接入端口为末端端口,核心设备只需要将末端端口信息报文中携带的端口号进行存储即可;若末端端口信息报文中携带的端口号不能唯一标识末端端口,则核心设备需要根据末端端口信息报文中携带的端口号以及源MAC地址(即发送该末端端口信息报文的接入设备的MAC地址)来确定末端端口,核心设备先根据接入设备的MAC地址,确定对应的接入设备,然后再根据端口号确定出该接入设备上的哪些接入端口是末端端口,核心设备需要将末端端口信息报文中携带的端口号和发送该末端端口信息报文的接入设备的MAC地址对应存储。
上述第一种处理方式不需要核心设备向各接入设备发送末端端口查询报文,接入设备也不需要根据末端端口查询报文进行相应处理,因此能够节省核心设备和接入设备的处理资源,但是需要网络管理员在核心设备上手动配置各末端端口的端口标识,在末端端口发生变化时,网络管理员需要及时的在核心设备上对端口标识进行更新;上述第二种处理方式虽然需要核心设备向各接入设备发送末端端口查询报文,且需要接入设备根据末端端口查询报文进行相应处理,但是不需要网络管理员在核心设备上进行端口标识的手动配置,能够对末端端口进行动态检测,即使末端端口发生了变化,核心设备也能够通过末端端口查询报文动态检测出来。在实际应用中,可以根据实际情况来选择确定末端端口的处理方式。
步骤32,所述核心设备针对包含末端端口的每个接入设备,分别发送安全认证策略配置报文;
其中,核心设备向接入设备发送安全认证策略配置报文的方式可以但不限于包含下述五种发送方式,具体为:
第一种发送方式,若核心设备按照上述第二种处理方式确定末端端口,则各接入设备能够确定出自身包含的各末端端口,预先设置各末端端口的安全认证策略为统一的安全认证策略,例如统一设置为IEEE 802.1X认证策略或WEB认证策略,核心设备可以直接将安全认证策略配置报文发送给接入设备;
第二种发送方式,若核心设备按照上述第一种处理方式确定末端端口,则各接入设备不能获知自身包含的各末端端口,预先设置各末端端口的安全认证策略为统一的安全认证策略,例如统一设置为IEEE 802.1X认证策略或WEB认证策略,核心设备在向接入设备发送安全认证策略配置报文时,将该接入设备包含的末端端口的端口标识携带在安全认证策略配置报文中发送给该接入设备,此外,即使核心设备按照上述第二种处理方式确定末端端口,也可以按照第二种发送方式来发送安全认证策略配置报文给接入设备,其中端口标识可以但不限于为末端端口的端口号;
第三种发送方式,预先在核心设备上针对每个接入设备分别设置对应的安全认证策略,例如针对某些接入设备设置的安全认证策略为IEEE 802.1X认证策略,针对另外一些接入设备设置的安全认证策略为WEB认证策略,核心设备在向接入设备发送安全认证策略配置报文时,将需要在该接入设备上配置的安全认证策略的策略标识携带在安全认证策略配置报文中发送给该接入设备;
第四种发送方式,预先在核心设备上针对每个末端端口分别设置对应的安全认证策略,例如针对某些末端端口设置的安全认证策略为IEEE 802.1X认证策略,针对另外一些末端端口设置的安全认证策略为WEB认证策略,核心设备在向接入设备发送安全认证策略配置报文时,将该接入设备包含的末端端口的端口标识和需要配置的安全认证策略的策略标识之间的第一对应关系携带在安全认证策略配置报文中发送给该接入设备,端口标识可以但不限于为末端端口的端口号,其中,第一对应关系可以但不限于如表1所示;
表1:
末端端口的端口标识 | 策略标识 |
b11 | IEEE 802.1X认证策略 |
b12 | IEEE 802.1X认证策略 |
b13 | WEB认证策略 |
第五种发送方式,核心设备在向接入设备发送安全认证策略配置报文时,将该接入设备包含的末端端口的端口标识、需要配置的安全认证策略的策略标识和开启操作的操作标识之间的第二对应关系,携带在安全认证策略配置报文中发送给该接入设备,端口标识可以但不限于为末端端口的端口号,其中,第二对应关系可以但不限于如表2所示;
表2:
末端端口的端口标识 | 策略标识 | 操作标识 |
b11 | IEEE 802.1X认证策略 | 开启操作 |
b12 | IEEE 802.1X认证策略 | 开启操作 |
b13 | WEB认证策略 | 开启操作 |
步骤33,接入设备接收到所述安全认证策略配置报文后,针对自身包含的每个末端端口,分别进行安全认证策略的配置操作。
其中,接入设备针对自身包含的每个末端端口,分别进行安全认证策略的配置操作可以但不限于包含下述发送五种配置方式,具体为:
第一种配置方式,与上述第一种发送方式对应,接入设备针对自身包含的每个末端端口,分别进行预设的安全认证策略的开启操作;
第二种配置方式,与上述第二种发送方式对应,接入设备根据安全认证策略配置报文中携带的端口标识,确定自身包含的各末端端口,并针对自身包含的每个末端端口,分别进行预设的安全认证策略的开启操作;
第三种配置方式,与上述第三种发送方式对应,接入设备根据安全认证策略配置报文中携带的策略标识,确定需要配置的安全认证策略,并针对自身包含的每个末端端口,分别进行确定出的安全认证策略的开启操作;
第四种配置方式,与上述第四种发送方式对应,接入设备根据安全认证策略配置报文中携带的第一对应关系,确定自身包含的各末端端口以及每个末端端口对应的安全认证策略,并针对自身包含的每个末端端口,分别进行对应的安全认证策略的开启操作;
第五种配置方式,与上述第五种发送方式对应,接入设备根据安全认证策略配置报文中携带的第二对应关系,确定自身包含的各末端端口以及每个末端端口对应的安全认证策略,并针对自身包含的每个末端端口,分别根据所述开启操作的操作标识,进行对应的安全认证策略的开启操作。
如图2所示,若接入设备2没有收到接入设备1转发的末端端口查询报文,则接入设备2不会向接入设备1发送非末端端口报文,接入设备1就会认为接入端口b13为末端端口,从而在该末端端口上开启安全认证策略,为了解决该问题,本发明实施例提出周期性的进行安全认证策略的配置,核心设备在某一次确定末端端口时,将一个非末端端口误认为末端端口,此时被误认为末端端口的非末端端口可以称为伪末端端口,核心设备在后续确定出该伪末端端口不是末端端口时,可以关闭该伪末端端口上已经开启的安全认证策略。具体为:
核心设备在上一次确定出的末端端口中,将本次未确定出为末端端口的接入端口确定为伪末端端口,针对包含伪末端端口的每个接入设备,核心设备分别将该接入设备包含的伪末端端口的端口标识、需要配置的安全认证策略的策略标识和关闭操作的操作标识之间的第三对应关系发送给该接入设备,接入设备根据所述第三对应关系,确定自身包含的各伪末端端口以及每个伪末端端口对应的安全认证策略,并针对自身包含的每个伪末端端口,分别根据所述关闭操作的操作标识,进行对应的安全认证策略的关闭操作,伪末端端口的端口标识可以但不限于为伪末端端口的端口号。其中,第三对应关系可以但不限于如表3所示;
表3:
伪末端端口的端口标识 | 策略标识 | 操作标识 |
b15 | IEEE 802.1X认证策略 | 关闭操作 |
B16 | IEEE 802.1X认证策略 | 关闭操作 |
其中,上述第三对应关系可以但不限于携带在安全认证策略配置报文中发送给接入设备。
由上述处理过程可知,本发明实施例技术方案中,核心设备在各接入设备包含的接入端口中,确定与终端设备直接通信的各末端端口,然后针对包含末端端口的每个接入设备,分别发送安全认证策略配置报文,接入设备接收到所述安全认证策略配置报文后,针对自身包含的每个末端端口,分别进行安全认证策略的配置操作。由上可见,本发明实施例提出了一种实现安全认证策略自动配置的具体实现方案,而不再是由网络管理员进行手工配置,从而节省了网络管理员的配置维护工作量,提高了安全认证策略的配置效率和可靠性。
下面给出更为详细的实施方式。
若安全认证策略配置系统的具体实现架构如图2所示,则图4为本发明实施例中安全认证策略配置方法具体实现流程图,其具体处理流程如下:
步骤41,核心设备在自身的各核心端口中,查找到开启了末端端口查询功能的核心端口a1;
步骤42,核心设备通过核心端口a1,向接入设备1发送末端端口查询报文;
步骤43,接入设备1通过接入端口b14接收到末端端口查询报文后,向核心设备发送非末端端口报文;
步骤44,接入设备1在自身的各接入端口中,查找到非阻塞且处于连接状态的接入端口b11、b12、b13;
步骤45,接入设备1分别通过接入端口b11、b12、b13,向终端设备1、终端设备2和接入设备2转发所述末端端口查询报文;
步骤46,接入设备2通过接入端口b21接收到末端端口查询报文后,向接入设备1发送非末端端口报文;
步骤47,接入设备2在自身的各接入端口中,查找到非阻塞且处于连接状态的接入端口b22;
步骤48,接入设备2通过接入端口b22向终端设备3转发所述末端端口查询报文;
步骤49,接入设备2的接入端口b22在规定时间长度内未接收到非末端端口报文,则接入设备2确定接入端口b22为与终端设备直接通信的末端端口;
步骤410,接入设备2将接入端口b22的端口标识携带在末端端口信息报文2中,该末端端口信息报文2的目的MAC地址为核心设备的MAC地址,源MAC地址为接入设备2的MAC地址,接入设备2通过接入设备1,将末端端口信息报文2发送给核心设备;
步骤411,接入设备1的接入端口b11和b12在规定时间长度内未接收到非末端端口报文,则接入设备1确定接入端口b11和b12为与终端设备直接通信的末端端口;
步骤412,接入设备1将接入端口b11和b12的端口标识携带在末端端口信息报文1中,该末端端口信息报文1的目的MAC地址为核心设备的MAC地址,源MAC地址为接入设备1的MAC地址,接入设备1通过接入端口b14将末端端口信息报文1发送给核心设备;
步骤413,核心设备分别根据接收到的末端端口信息报文1,确定出接入设备1包含的末端端口为接入端口b11和b12,根据接收到的末端端口信息报文2,确定出接入设备2包含的末端端口为接入端口b22;
步骤414,核心设备向接入设备1发送安全认证策略配置报文1,通过接入设备1向接入设备2发送安全认证策略配置报文2,其中安全认证策略配置报文1中携带有接入端口b11和b12的端口标识、需要配置的安全认证策略的策略标识和开启操作的操作标识之间的对应关系,安全认证策略配置报文2中携带有接入端口b22的端口标识、需要配置的安全认证策略的策略标识和开启操作的操作标识之间的对应关系;
步骤415,接入设备1根据所述安全认证策略配置报文1,确定自身包含的末端端口为接入端口b11和b12,以及每个末端端口分别对应的安全认证策略;
步骤416,接入设备1针对自身包含的每个末端端口,分别根据所述开启操作的操作标识,进行对应的安全认证策略的开启操作;
步骤417,接入设备2根据所述安全认证策略配置报文2,确定自身包含的末端端口为接入端口b22,以及该末端端口对应的安全认证策略;
步骤418,接入设备2针对自身包含的末端端口,根据所述开启操作的操作标识,进行对应的安全认证策略的开启操作。
本发明实施例还提供一种安全认证策略配置装置,其结构如图5所示,包括第一确定单元51和第一发送单元52,其中:
第一确定单元51,用于在各接入设备包含的接入端口中,确定与终端设备直接通信的各末端端口;
第一发送单元52,用于针对包含第一确定单元51确定出的末端端口的每个接入设备,分别发送安全认证策略配置报文。
较佳地,第一确定单元51具体包括发送子单元、接收子单元和确定子单元,其中:
发送子单元,用于通过预设的各核心端口,向各接入设备发送末端端口查询报文;
接收子单元,用于接收接入设备发送的末端端口信息报文,末端端口信息报文中携带有接入设备确定出的末端端口的端口标识;
确定子单元,用于根据接收子单元接收到的末端端口信息报文中携带的端口标识,确定与终端设备直接通信的各末端端口。
较佳地,所述安全认证策略配置装置还包括第二确定单元和第二发送单元,其中:
第二确定单元,用于在第一确定单元51上一次确定出的末端端口中,将本次未确定出为末端端口的接入端口确定为伪末端端口;
第二发送单元,用于针对包含第二确定单元确定出的伪末端端口的每个接入设备,分别将该接入设备包含的伪末端端口的端口标识、需要配置的安全认证策略的策略标识和关闭操作的操作标识之间的对应关系发送给该接入设备。
本发明实施例还提供一种核心设备,至少包括上述安全认证策略配置装置。
本发明实施例还提供一种安全认证策略配置装置,其结构如图6所示,包括第一接收单元61和第一配置操作单元62,其中:
第一接收单元61,用于接收核心设备发送的安全认证策略配置报文;
第一配置操作单元62,用于在第一接收单元61接收到所述安全认证策略配置报文后,针对所述安全认证策略配置装置包含的每个末端端口,分别进行安全认证策略的配置操作。
较佳地,所述安全认证策略配置装置还包括第二接收单元、第一发送单元、第二发送单元、判断单元、第一确定单元和第三发送单元,其中:
第二接收单元,用于在第一接收单元61接收核心设备发送的安全认证策略配置报文之前,接收所述安全认证策略配置装置的上一级设备发送的末端端口查询报文;
第一发送单元,用于向所述上一级设备发送非末端端口报文;
第二发送单元,用于通过所述安全认证策略配置装置的各接入端口,向所述安全认证策略配置装置的下一级设备转发所述末端端口查询报文;
判断单元,用于针对转发所述末端端口查询报文的每个接入端口,分别判断该接入端口是否在规定时间长度内接收到非末端端口报文;
第一确定单元,用于将判断单元的判断结果为否的接入端口确定为与终端设备直接通信的末端端口;
第三发送单元,用于将所述第一确定单元确定出的末端端口的端口标识携带在末端端口信息报文中发送给所述核心设备。
更佳地,第二发送单元具体包括查找子单元和发送子单元,其中:
查找子单元,用于在所述安全认证策略配置装置包含的各接入端口中,查找非阻塞且处于连接状态的各接入端口;
发送子单元,用于通过查找子单元查找到的各接入端口,向所述安全认证策略配置装置的下一级设备转发所述末端端口查询报文。
较佳地,第一配置操作单元62针对所述安全认证策略配置装置包含的每个末端端口,分别进行预设的安全认证策略的开启操作。
较佳地,第一接收单元61接收到的安全认证策略配置报文中携带有该安全认证策略配置装置包含的末端端口的端口标识;
第一配置操作单元62具体包括第一确定子单元和第一配置操作子单元,其中:
第一确定子单元,用于根据所述安全认证策略配置报文中携带的端口标识,确定所述安全认证策略配置装置包含的各末端端口;
第一配置操作子单元,用于针对所述安全认证策略配置装置包含的每个末端端口,分别进行预设的安全认证策略的开启操作。
较佳地,第一接收单元61接收到的安全认证策略配置报文中携带有需要配置的安全认证策略的策略标识;
第一配置操作单元62具体包括第二确定子单元和第二配置操作子单元,其中:
第二确定子单元,用于根据所述安全认证策略配置报文中携带的策略标识,确定需要配置的安全认证策略;
第二配置操作子单元,用于针对所述安全认证策略配置装置包含的每个末端端口,分别进行第二确定子单元确定出的安全认证策略的开启操作。
较佳地,第一接收单元61接收到的安全认证策略配置报文中携带有该安全认证策略配置装置包含的末端端口的端口标识和需要配置的安全认证策略的策略标识之间的第一对应关系;
第一配置操作单元62具体包括第三确定子单元和第三配置操作子单元,其中:
第三确定子单元,用于根据所述安全认证策略配置报文中携带的所述第一对应关系,确定所述安全认证策略配置装置包含的各末端端口以及每个末端端口对应的安全认证策略;
第三配置操作子单元,用于针对所述安全认证策略配置装置包含的每个末端端口,分别进行对应的安全认证策略的开启操作。
较佳地,第一接收单元61接收到的安全认证策略配置报文中携带有该安全认证策略配置装置包含的末端端口的端口标识、需要配置的安全认证策略的策略标识和开启操作的操作标识之间的第二对应关系;
第一配置操作单元62具体包括第四确定子单元和第四配置操作子单元,其中:
第四确定子单元,用于根据所述安全认证策略配置报文中携带的第二对应关系,确定所述安全认证策略配置装置包含的各末端端口以及每个末端端口对应的安全认证策略;
第四配置操作子单元,用于针对所述安全认证策略配置装置包含的每个末端端口,分别根据所述开启操作的操作标识,进行对应的安全认证策略的开启操作。
更佳地,所述安全认证策略配置装置还包括第三接收单元、第二确定单元和第二配置操作单元,其中:
第三接收单元,用于接收核心设备发送的、该安全认证策略配置装置包含的伪末端端口的端口标识、需要配置的安全认证策略的策略标识和关闭操作的操作标识之间的第三对应关系;
第二确定单元,用于根据第三接收单元接收到的所述第三对应关系,确定所述安全认证策略配置装置包含的各伪末端端口以及每个伪末端端口对应的安全认证策略;
第二配置操作单元,用于针对所述安全认证策略配置装置包含的每个伪末端端口,分别根据所述关闭操作的操作标识,进行对应的安全认证策略的关闭操作。
本发明实施例还提供一种接入设备,至少包括上述安全认证策略配置装置。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (24)
1.一种安全认证策略配置方法,其特征在于,包括:
核心设备在各接入设备包含的接入端口中,确定与终端设备直接通信的各末端端口;
所述核心设备针对包含末端端口的每个接入设备,分别发送安全认证策略配置报文;
接入设备接收到所述安全认证策略配置报文后,针对自身包含的每个末端端口,分别进行安全认证策略的配置操作。
2.如权利要求1所述的安全认证策略配置方法,其特征在于,核心设备在各接入设备包含的接入端口中,确定与终端设备直接通信的各末端端口,具体包括:
核心设备通过预设的各核心端口,向各接入设备发送末端端口查询报文;
接入设备接收到上一级设备发送的末端端口查询报文后,向所述上一级设备发送非末端端口报文;并
通过各接入端口向下一级设备转发所述末端端口查询报文;
所述接入设备针对转发所述末端端口查询报文的每个接入端口,分别判断该接入端口是否在规定时间长度内接收到非末端端口报文;
所述接入设备将判断结果为否的接入端口确定为与终端设备直接通信的末端端口;并
将确定出的末端端口的端口标识携带在末端端口信息报文中发送给所述核心设备;
所述核心设备根据末端端口信息报文中携带的端口标识,确定与终端设备直接通信的各末端端口。
3.如权利要求2所述的安全认证策略配置方法,其特征在于,接入设备通过各接入端口向下一级设备转发所述末端端口查询报文,具体包括:
接入设备在自身包含的各接入端口中,查找非阻塞且处于连接状态的各接入端口;
所述接入设备通过查找到的各接入端口,向下一级设备转发所述末端端口查询报文。
4.如权利要求1所述的安全认证策略配置方法,其特征在于,接入设备针对自身包含的每个末端端口,分别进行安全认证策略的配置操作,具体包括:
接入设备针对自身包含的每个末端端口,分别进行预设的安全认证策略的开启操作。
5.如权利要求1所述的安全认证策略配置方法,其特征在于,所述核心设备发送给接入设备的安全认证策略配置报文中携带有该接入设备包含的末端端口的端口标识;
接入设备针对自身包含的每个末端端口,分别进行安全认证策略的配置操作,具体包括:
接入设备根据所述安全认证策略配置报文中携带的端口标识,确定自身包含的各末端端口;并
针对自身包含的每个末端端口,分别进行预设的安全认证策略的开启操作。
6.如权利要求1所述的安全认证策略配置方法,其特征在于,所述核心设备发送给接入设备的安全认证策略配置报文中携带有需要配置的安全认证策略的策略标识;
接入设备针对自身包含的每个末端端口,分别进行安全认证策略的配置操作,具体包括:
接入设备根据所述安全认证策略配置报文中携带的策略标识,确定需要配置的安全认证策略;并
针对自身包含的每个末端端口,分别进行确定出的安全认证策略的开启操作。
7.如权利要求1所述的安全认证策略配置方法,其特征在于,所述核心设备发送给接入设备的安全认证策略配置报文中携带有该接入设备包含的末端端口的端口标识和需要配置的安全认证策略的策略标识之间的第一对应关系;
接入设备针对自身包含的每个末端端口,分别进行安全认证策略的配置操作,具体包括:
接入设备根据所述安全认证策略配置报文中携带的所述第一对应关系,确定自身包含的各末端端口以及每个末端端口对应的安全认证策略;并
针对自身包含的每个末端端口,分别进行对应的安全认证策略的开启操作。
8.如权利要求1所述的安全认证策略配置方法,其特征在于,所述核心设备发送给接入设备的安全认证策略配置报文中携带有该接入设备包含的末端端口的端口标识、需要配置的安全认证策略的策略标识和开启操作的操作标识之间的第二对应关系;
接入设备针对自身包含的每个末端端口,分别进行安全认证策略的配置操作,具体包括:
接入设备根据所述安全认证策略配置报文中携带的第二对应关系,确定自身包含的各末端端口以及每个末端端口对应的安全认证策略;并
针对自身包含的每个末端端口,分别根据所述开启操作的操作标识,进行对应的安全认证策略的开启操作。
9.如权利要求8所述的安全认证策略配置方法,其特征在于,还包括:
所述核心设备在上一次确定出的末端端口中,将本次未确定出为末端端口的接入端口确定为伪末端端口;
针对包含伪末端端口的每个接入设备,分别将该接入设备包含的伪末端端口的端口标识、需要配置的安全认证策略的策略标识和关闭操作的操作标识之间的第三对应关系发送给该接入设备;
接入设备根据所述第三对应关系,确定自身包含的各伪末端端口以及每个伪末端端口对应的安全认证策略;并
针对自身包含的每个伪末端端口,分别根据所述关闭操作的操作标识,进行对应的安全认证策略的关闭操作。
10.一种安全认证策略配置装置,其特征在于,包括:
第一确定单元,用于在各接入设备包含的接入端口中,确定与终端设备直接通信的各末端端口;
第一发送单元,用于针对包含第一确定单元确定出的末端端口的每个接入设备,分别发送安全认证策略配置报文。
11.如权利要求10所述的安全认证策略配置装置,其特征在于,第一确定单元具体包括:
发送子单元,用于通过预设的各核心端口,向各接入设备发送末端端口查询报文;
接收子单元,用于接收接入设备发送的末端端口信息报文,末端端口信息报文中携带有接入设备确定出的末端端口的端口标识;
确定子单元,用于根据接收子单元接收到的末端端口信息报文中携带的端口标识,确定与终端设备直接通信的各末端端口。
12.如权利要求10所述的安全认证策略配置装置,其特征在于,还包括:
第二确定单元,用于在第一确定单元上一次确定出的末端端口中,将本次未确定出为末端端口的接入端口确定为伪末端端口;
第二发送单元,用于针对包含第二确定单元确定出的伪末端端口的每个接入设备,分别将该接入设备包含的伪末端端口的端口标识、需要配置的安全认证策略的策略标识和关闭操作的操作标识之间的对应关系发送给该接入设备。
13.一种核心设备,其特征在于,包括权利要求10~12任一权利要求所述的安全认证策略配置装置。
14.一种安全认证策略配置装置,其特征在于,包括:
第一接收单元,用于接收核心设备发送的安全认证策略配置报文,其中,所述安全认证策略配置报文是由核心设备在各接入设备包含的接入端口中,确定与终端设备直接通信的各末端端口;并针对包含末端端口的每个接入设备,分别发送的;
第一配置操作单元,用于在第一接收单元接收到所述安全认证策略配置报文后,针对所述安全认证策略配置装置包含的每个末端端口,分别进行安全认证策略的配置操作。
15.如权利要求14所述的安全认证策略配置装置,其特征在于,还包括:
第二接收单元,用于在第一接收单元接收核心设备发送的安全认证策略配置报文之前,接收所述安全认证策略配置装置的上一级设备发送的末端端口查询报文;
第一发送单元,用于向所述上一级设备发送非末端端口报文;
第二发送单元,用于通过所述安全认证策略配置装置的各接入端口,向所述安全认证策略配置装置的下一级设备转发所述末端端口查询报文;
判断单元,用于针对转发所述末端端口查询报文的每个接入端口,分别判断该接入端口是否在规定时间长度内接收到非末端端口报文;
第一确定单元,用于将判断单元的判断结果为否的接入端口确定为与终端设备直接通信的末端端口;
第三发送单元,用于将所述第一确定单元确定出的末端端口的端口标识携带在末端端口信息报文中发送给所述核心设备。
16.如权利要求15所述的安全认证策略配置装置,其特征在于,第二发送单元具体包括:
查找子单元,用于在所述安全认证策略配置装置包含的各接入端口中,查找非阻塞且处于连接状态的各接入端口;
发送子单元,用于通过查找子单元查找到的各接入端口,向所述安全认证策略配置装置的下一级设备转发所述末端端口查询报文。
17.如权利要求14所述的安全认证策略配置装置,其特征在于,第一配置操作单元针对所述安全认证策略配置装置包含的每个末端端口,分别进行预设的安全认证策略的开启操作。
18.如权利要求14所述的安全认证策略配置装置,其特征在于,第一接收单元接收到的安全认证策略配置报文中携带有该安全认证策略配置装置包含的末端端口的端口标识;
第一配置操作单元具体包括:
第一确定子单元,用于根据所述安全认证策略配置报文中携带的端口标识,确定所述安全认证策略配置装置包含的各末端端口;
第一配置操作子单元,用于针对所述安全认证策略配置装置包含的每个末端端口,分别进行预设的安全认证策略的开启操作。
19.如权利要求14所述的安全认证策略配置装置,其特征在于,第一接收单元接收到的安全认证策略配置报文中携带有需要配置的安全认证策略的策略标识;
第一配置操作单元具体包括:
第二确定子单元,用于根据所述安全认证策略配置报文中携带的策略标识,确定需要配置的安全认证策略;
第二配置操作子单元,用于针对所述安全认证策略配置装置包含的每个末端端口,分别进行第二确定子单元确定出的安全认证策略的开启操作。
20.如权利要求14所述的安全认证策略配置装置,其特征在于,第一接收单元接收到的安全认证策略配置报文中携带有该安全认证策略配置装置包含的末端端口的端口标识和需要配置的安全认证策略的策略标识之间的第一对应关系;
第一配置操作单元具体包括:
第三确定子单元,用于根据所述安全认证策略配置报文中携带的所述第一对应关系,确定所述安全认证策略配置装置包含的各末端端口以及每个末端端口对应的安全认证策略;
第三配置操作子单元,用于针对所述安全认证策略配置装置包含的每个末端端口,分别进行对应的安全认证策略的开启操作。
21.如权利要求14所述的安全认证策略配置装置,其特征在于,第一接收单元接收到的安全认证策略配置报文中携带有该安全认证策略配置装置包含的末端端口的端口标识、需要配置的安全认证策略的策略标识和开启操作的操作标识之间的第二对应关系;
第一配置操作单元具体包括:
第四确定子单元,用于根据所述安全认证策略配置报文中携带的第二对应关系,确定所述安全认证策略配置装置包含的各末端端口以及每个末端端口对应的安全认证策略;
第四配置操作子单元,用于针对所述安全认证策略配置装置包含的每个末端端口,分别根据所述开启操作的操作标识,进行对应的安全认证策略的开启操作。
22.如权利要求21所述的安全认证策略配置装置,其特征在于,还包括:
第三接收单元,用于接收核心设备发送的、该安全认证策略配置装置包含的伪末端端口的端口标识、需要配置的安全认证策略的策略标识和关闭操作的操作标识之间的第三对应关系;
第二确定单元,用于根据第三接收单元接收到的所述第三对应关系,确定所述安全认证策略配置装置包含的各伪末端端口以及每个伪末端端口对应的安全认证策略;
第二配置操作单元,用于针对所述安全认证策略配置装置包含的每个伪末端端口,分别根据所述关闭操作的操作标识,进行对应的安全认证策略的关闭操作。
23.一种接入设备,其特征在于,包括权利要求14~22任一权利要求所述的安全认证策略配置装置。
24.一种安全认证策略配置系统,其特征在于,包括权利要求13所述的核心设备和权利要求23所述的接入设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110124695.0A CN102185864B (zh) | 2011-05-13 | 2011-05-13 | 安全认证策略配置方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110124695.0A CN102185864B (zh) | 2011-05-13 | 2011-05-13 | 安全认证策略配置方法、装置及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102185864A CN102185864A (zh) | 2011-09-14 |
CN102185864B true CN102185864B (zh) | 2014-12-24 |
Family
ID=44571934
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110124695.0A Active CN102185864B (zh) | 2011-05-13 | 2011-05-13 | 安全认证策略配置方法、装置及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102185864B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105207970B (zh) * | 2014-06-12 | 2019-09-27 | 南京中兴新软件有限责任公司 | 基于公有云的认证方法、安全认证中间件及云计算资源池 |
CN109547267A (zh) * | 2019-01-02 | 2019-03-29 | 京东方科技集团股份有限公司 | 局域网系统以及核心层、接入层交换机及其配置方法 |
CN110276191A (zh) * | 2019-05-06 | 2019-09-24 | 阿里巴巴集团控股有限公司 | 一种设备配置方法、装置及电子设备 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1503518A (zh) * | 2002-11-26 | 2004-06-09 | 华为技术有限公司 | 基于802.1x协议的网络接入设备管理方法 |
CN1620020A (zh) * | 2003-11-20 | 2005-05-25 | 国际商业机器公司 | 通过连接到特定交换器端口而自动配置网络设备 |
US7290277B1 (en) * | 2002-01-24 | 2007-10-30 | Avago Technologies General Ip Pte Ltd | Control of authentication data residing in a network device |
CN101094099A (zh) * | 2007-06-19 | 2007-12-26 | 中兴通讯股份有限公司 | 一种多交换机的配置系统及其配置方法 |
CN101917492A (zh) * | 2010-08-06 | 2010-12-15 | 北京乾唐视联网络科技有限公司 | 一种新型网的通信方法及系统 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6853623B2 (en) * | 1999-03-05 | 2005-02-08 | Cisco Technology, Inc. | Remote monitoring of switch network |
CN100356725C (zh) * | 2002-12-26 | 2007-12-19 | 华为技术有限公司 | 一种网络设备的管理方法 |
CN1525690A (zh) * | 2003-09-18 | 2004-09-01 | 港湾网络有限公司 | 一种对低端交换机进行远程集群管理的方法 |
-
2011
- 2011-05-13 CN CN201110124695.0A patent/CN102185864B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7290277B1 (en) * | 2002-01-24 | 2007-10-30 | Avago Technologies General Ip Pte Ltd | Control of authentication data residing in a network device |
CN1503518A (zh) * | 2002-11-26 | 2004-06-09 | 华为技术有限公司 | 基于802.1x协议的网络接入设备管理方法 |
CN1620020A (zh) * | 2003-11-20 | 2005-05-25 | 国际商业机器公司 | 通过连接到特定交换器端口而自动配置网络设备 |
CN101094099A (zh) * | 2007-06-19 | 2007-12-26 | 中兴通讯股份有限公司 | 一种多交换机的配置系统及其配置方法 |
CN101917492A (zh) * | 2010-08-06 | 2010-12-15 | 北京乾唐视联网络科技有限公司 | 一种新型网的通信方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN102185864A (zh) | 2011-09-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101087211B (zh) | 一种实现bfd机制中回声功能的方法及系统及功能实体 | |
CN102710811B (zh) | 实现dhcp地址安全分配的方法和交换机 | |
CN100596115C (zh) | 实现网关Mac绑定的方法、组件、网关和二层交换机 | |
CN103763121A (zh) | 一种网络配置信息快速下发的方法及装置 | |
CN104301238A (zh) | 一种报文处理方法、装置及系统 | |
CN103414575A (zh) | 网络唤醒方法、系统与装置 | |
CN104168338A (zh) | 一种网络地址转换装置和方法 | |
CN105227465A (zh) | 一种cpu代理方法以及网络设备 | |
CN100553264C (zh) | 一种在动态主机地址配置过程中进行中继的方法和装置 | |
CN102137025A (zh) | 报文转发方法、装置及交换芯片 | |
CN102185864B (zh) | 安全认证策略配置方法、装置及系统 | |
CN202285423U (zh) | 智能机顶盒 | |
CN104734953A (zh) | 基于vlan实现报文二层隔离的方法、装置及交换机 | |
CN102739462B (zh) | 一种测试报文的发送方法以及装置 | |
CN111277507A (zh) | 实现无线终端间信息交换的方法 | |
CN104660509A (zh) | 一种接入网关中数据报文的转发处理方法 | |
WO2016101600A1 (zh) | 线卡的确定、确定处理方法及装置、线卡的确定系统 | |
CN107018007A (zh) | 一种网管协议自动发现网络设备的方法 | |
CN104980526A (zh) | Mac地址漂移的控制方法、装置及网络设备 | |
WO2012016411A1 (zh) | 智能家居系统中的路由方法、路由系统及业务网关 | |
CN105430116A (zh) | 一种建立控制信道的方法及装置 | |
WO2018127024A1 (zh) | 基于网口传输的纠错方法、装置及网口传输设备 | |
CN101667927A (zh) | 快速恢复业务的方法和设备 | |
CN106302860B (zh) | 一种基于sdn的免费地址解析协议发送的方法、装置和系统 | |
CN105871635A (zh) | 一种局域地区多个wifi模块参数自动配置的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |